هکرها از آسیب پذیری کنترلر Aviatrix برای استقرار بکدور و ماینرهای ارز دیجیتال سوء استفاده کردند!

اخیراً یک آسیب پذیری بحرانی در پلتفرم شبکه ابری Aviatrix Controller شناسایی شده است که برای استقرار بکدورها و ماینرهای ارز دیجیتال مورد سوء استفاده قرار گرفته است.

این آسیب پذیری که با شناسه CVE-2024-50603 (امتیاز  CVSS: 10.0) دنبال می‌شود، یک نقص امنیتی بحرانی در Aviatrix Controller است که به مهاجمان غیرمجاز امکان می‌دهد تا کد دلخواه را از راه دور اجرا کنند. این آسیب ‌پذیری در واقع ناشی از عدم خنثی‌سازی مناسب ورودی‌های کاربر در دستورات سیستم‌عامل است که به مهاجمان اجازه می‌دهد با تزریق و ارسال کاراکترهای خاص به  APIهای مشخص، دستورات مخرب خود را اجرا نمایند.

این آسیب ‌پذیری در نسخه‌های پیش از 7.1.4191 و 7.2.x در Aviatrix Controller وجود دارد. مهاجمان می‌توانند با ارسال متاکاراکترهای شل به پارامترهای cloud_type  در تابع list_flightpath_destination_instances  یا src_cloud_type  در تابع flightpath_connection_test  از طریق مسیر /v1/api، دستورات دلخواه خود را اجرا کنند. این آسیب پذیری در نسخه‌های 7.1.4191 و 7.2.4996 پچ شده است.

Aviatrix یک پلتفرم ابری محبوب برای مدیریت شبکه‌های چند ابری (Multi-Cloud) است که ابزارهایی را برای خودکارسازی، تأمین امنیت و مانیتورینگ شبکه‌های ابری ارائه می‌دهد. این پلتفرم معمولاً در سازمان‌هایی که از زیرساخت‌های ابری مختلف (مانند  AWS، Azure، Google Cloud) استفاده می‌کنند، به کار می‌رود.

Jakub Korepta، محقق شرکت امنیت سایبری لهستانی Securing، مسئول کشف و گزارش این آسیب پذیری است. جالب است بدانید که یک اکسپلویت  PoC نیز برای CVE-2024-50603 در گیت هاب در دسترس می‌باشد.

داده‌های جمع‌آوری‌شده توسط شرکت امنیت سایبری wiz نشان می‌دهد که حدود ۳ درصد از محیط‌های سازمانی ابری دارای Aviatrix Controller هستند که از این میان، 65 درصد از آنها امکان حرکت جانبی در شبکه را برای رسیدن به مجوزها و دسترسی‌های مورد نظر ارائه میدهند. این به نوبه خود امکان افزایش سطح دسترسی در محیط ابری را فراهم می‌آورد.

هنگامی که بکدورها و ماینرها در محیط‌های ابری AWS مستقر می‌شوند، Aviatrix Controller به طور پیش‌فرض اجازه افزایش سطح دسترسی را به آنها می‌دهد. از این رو اکسپلویت این آسیب ‌پذیری می‌تواند منجر به تهدیدات بزرگی شود.

در یکی از نمونه حملات واقعی، هکرها با اکسپلویت CVE-2024-50603 توانستند دسترسی اولیه به پلتفرم شبکه ابری Aviatrix Controller را بدست آورند و از آن برای استخراج ارز دیجیتال با استفاده از XMRig و استقرار فریمورک فرماندهی و کنترل Sliver (C2) استفاده ‌کنند.

توصیه می‌شود که کاربران این پلتفرم هر چه سریع‌تر پچ‌های امنیتی را اعمال کنند تا از دسترسی عموم به Aviatrix Controller جلوگیری به عمل آورند. از سوی دیگر، بررسی گزارش‌ها و یکپارچگی سیستم برای شناسایی هرگونه نشانه‌ای از نفوذ یا حرکت جانبی در محیط‌های ابری ضرورت دارد.

منابع